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HA! 


HE gestión de 

J vulnerabilidades 

será una commodity 
dentro de la seguridao” 


(Qualys) 


Más conocida por su oferta para la gestión de vulnerabilidades, la gran baza de Qualys es 
identificar los activos de las empresas, recopilar y analizar datos de seguridad de TI, descubrir 

y priorizar vulnerabilidades, recomendar acciones de remediación y verificar la implementación 
de dichas acciones. Una gran tarea en los entornos descentralizados de las TI, y cuando hay que 
hacer frente al cloud, al shadow IT o al loT. 


roveedor de seguridad cloud y de solu- 15% y un 16%, hasta los 323 millones de dólares. 
ciones de cumplimiento, Qualys facturó Según IDC es uno de los líderes del mercado de 
278,9 millones de dólares en 2018, un 21% gestión de vulnerabilidades, con la quinta mayor 
más respecto al año anterior, con un beneficio cuota de este mercado, valorado por la consultora 
neto de 53,7 millones de dólares. Tiene una capi- en 6.700 millones de dólares. 
talización de mercado de 3.400 millones de dólares Pero hay mucho más. A través de su Qualys 
y durante este año tiene previsto crecer entre un Cloud Suite la compañía ofrece no sólo soluciones > 
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de gestión de vulnerabilidades, sino de mo- 
nitorización continua, Cloud Agent, Asse- 
tView, ThreatPROTECT, Cumplimiento de 
políticas, Cumplimiento PCI, Escaneo de 
aplicaciones web y WAF (Web Application 
Firewall). El objetivo de todo ello es ayudar 
a los clientes a conseguir la visibilidad de 
sus activos de Tl; nos lo ha contado Raúl 
Benito, el responsable de Qualys para el 
mercado de Iberia. 

Fundada en 1999 en California, la com- 
pañía acumula más de 10.000 clientes en 
más de 130 países, incluido el Banco de 
Santander desde finales de 2018, un año 
marcado por tres adquisiciones: 1Mobility en 
abril, Second Front System en junio y 
Layered Insight en octubre. No suma 
muchas más esta empresa. La 
primera compra fua de la Ne- 
tWatcher, una compañía de se- 
guridad de red, en diciembre de 
2017, y la última ha sido la de 
Adya el pasado mes de febrero. 

Qualys ha evolucionado al ritmo 
del propio mercado, un mercado 

< en el que la demanda de soluciones 
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QUALYS CLOUD PLATFORM 


de ciberseguridad sigue en alza, en el 
que el coste de un ciberataque pue- 
de alcanzar el trillón de dólares e 
impactar en millones de usua- 
rios. Un mercado en el que las 
empresas se han dado cuenta 
de la necesidad de contar con 
medidas de seguridad más es- 
trictas. Un mercado en el que la 
transformación digital, la adopción 
del cloud y la proliferación de disposi- 
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tivos conectados exponen a las empresas 
desde el punto de vista de la seguridad. 

Qualys evoluciona al ritmo del mercado 
y por eso a finales del año pasado lanzaba 
la solución Qualys Container Security para 
mejorar la seguridad y visibilidad de las 
aplicaciones en contenedores que se eje- 
cuten en Amazon Web Services “en sólo 
unos pocos clicks”. Y con este mismo pro- 
veedor de cloud, concretamente con AWS 
Security Hub, anunciaba esta compañía 
una integración con la que poder aplicar 
cumplimiento de políticas y vulnerabilida- 
des que permitan a los clientes priorizar 
los riesgos y automatizar la remediación utilizando 
servicios nativos, como AWS Lambda. 

Costó mucho avanzar porque en el momento de 
la fundación de la compañía “hablar de cloud era 
complicado”, tanto “como encontrar ingenieros 
en Silicon Valley”, explica Raúl Benito. Por eso 
la compañía estableció en Pune, India, un depar- 
tamento de desarrollo, con ingenieros altamente 
cualificados. El tiempo fue pasando y es ahora 
cuando “la explosión de la gestión de vulnerabili- 
dades está llegando” asegura el responsable de 
la compañía en la región de Iberia, añadiendo que > 
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LA GESTIÓN Y 


DE VULNERABILIDADES 


Es imperativo para cualquier organización 
implementar una Gestión de Vulnerabilida- 
des efectiva para protegerse contra ataques y 
amenazas. El panorama de amenazas de hoy 
es inimaginablemente diferente, con miles 
de nuevas vulnerabilidades reportadas cada 
año y la creciente complejidad del entorno 
de la organización. Diferentes informes 
sobre brechas de seguridad muestran un 
claro aumento en el número de vulnerabili- 
dades identificadas y la forma de explotarlas. 


El gran volumen de ataques 
exige las mejores soluciones 
de administración de 
vulnerabilidades en su clase 
que ofrecen un descubri- 
miento completo para 
respaldar todo el ciclo de 
vida de la administración de 
vulnerabilidades. 
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eso es tanto por la madurez del mercado como de 
las herramientas; “el momento es bueno en cuan- 
to a que el comité de dirección de las empresas 
tiene conciencia de que la seguridad es importan- 
te para la continuidad de negocio, y la parte de 
gestión de vulnerabilidad es esencial a la hora de 
poder medir el riesgo que pueda tener tu empre- 
sa”. 

Pero más que la propia vulnerabilidad en sí, ase- 
gura Raúl Benito que lo esencial es la visibilidad. 
La visibilidad de los activos es la clave de las adqui- 
siciones que se han realizado en los últimos años, 
dice el directivo. ¿Y qué es un activo? “Cualquier 
cosa que pueda tener valor dentro de tu empresa y 
que se pueda conectar a tu red. Hablamos de mó- 
viles, hablamos de cámaras, hasta un termostato, 

y por supuesto los laptops, PCs y servidores”, dice 
Benito recalcando que para la compañía “es esen- 
cial hablar de visibilidad antes de hablar de seguri- 
dad o de vulnerabilidades” y que por eso “es muy 
importante todas las integraciones que empezamos 
a tener con el mundo CMDB (Configuration Mana- 
gement Database)”. 

Aquí entra en juego la importancia del activo, 
porque no es lo mismo uno que tenga una vul- 
nerabilidad crítica si en él se sustenta parte de 
tu negocio esencial, a si es un activo que está 
sustentando algo que es totalmente prescindible. 
Esa visibilidad es importante cuando se habla de 
vulnerabilidades porque “te ayudar a saber en qué 
activos tienen que actuar cuanto antes y de qué 
forma; y en algunos será parcheando y en otros 
lanzando un mensaje al IPS, al firewall o al EDR 
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para que toma ciertas acciones que impidan que 
se explote la vulnerabilidad”. 


Esta es en opinión de Raúl Benito, la esencia de 
Qualys: darte una visibilidad y una seguridad que 
puedas consumir. Lo que a su vez está alienado al > 
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foco que tiene Qualys en la integración con terce- 
ros vía API o vía conectores, algo que se tiene con 
los principales SIEM del mercado, con los PAMs 
en términos de autenticación, con los IPS..., “para 
poder darte una información que tú puedas utilizar”, 
poderle decir al resto de herramientas lo que se 
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tiene que hacer para que una vulnerabilidad no sea 
explotable. 


Cloud, loT, Contenedores 

Sobre el cloud dice el directivo que es una tenden- 
cia a la que las empresas no podrán resistir mucho 
tiempo, “de forma que cuanta mayor visibilidad ten- 
gas de esos entornos que no controlas mucho me- 
jor”. ¿Os acerca esto al mundo de los CASB (Cloud 
Access Security Broker)? “No, porque nosotros no 
vamos a evaluar la seguridad en la comunicación o 
en el servicio, sino evaluar la seguridad de tus acti- 
vos propiamente dicho, cómo tú los has definido”. Y 
añade Raúl Benito que las empresas que nacen en 
la nube entienden que todo sus servicios están par- 
cheados a lo último; “se tiene todo en la nube, todo 
se actualiza cuando se tiene que actualizar y los ne- 
gocios se adaptan. Los PCS son terminales tontos 
que se conectan y trabajan en aplicaciones, y aun- 
que ahora este concepto suene muy avanzado para 
muchas empresas, es donde terminaremos”. 

Visibilidad y gestión de vulnerabilidades parece 
el cóctel perfecto para hacer frente al fascinante, y 
peligroso, mundo del Internet de las Cosas. “En loT 
no me hables de parchear”, dice Raúl Benito. La 
mayoría de las veces porque no se puede, pero lo 
que parece imprescindible es tener visibilidad de lo 
que se está haciendo. 

“Nosotros tenemos una capacidad de poder es- 
canear la red de forma masiva de una manera muy 
eficiente para que no repercuta en el trabajo o en 
el negocio del cliente”, dice el ejecutivo de Qualys. 
La categorización que hace la compañía permite 
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establecer el tipo de aplicativo y el tipo de acción 
que realiza, y “esa homogenización o estandariza- 
ción de todo lo que se encuentre es esencial para 
poder empezar a tomar decisiones”. 

Sobre los contenedores, quizá el mercado no 
preveía que su crecimiento iba a ser tan exponen- 
cial. Han revolucionado el mundo de las TI; “va a 
cambiarlo todo, ya no es la virtualización, ahora 
son los contenedores y los microservicios, ya no 
necesito construir mi sistema operativo virtualiza- 
do, y para nosotros es vital tener visibilidad de lo 
que se está construyendo porque la flexibilidad y 
elasticidad que tienen estas nuevas tecnologías 
es increíble”. 

Explica Raúl Benito que Qualys se integra en la 
tecnología de contenedores para que se pueda 
tener visibilidad de lo que se está construyendo en 
cuanto a seguridad, pero además “permite que pon- 
gas tus propias políticas de compliance en función 
a la seguridad que tú estás metiendo en ese micro- 
servicio”. 

Planteamos al responsable de Qualys para la 
región de Iberia que llevando como llevamos tanto 
tiempo hablando de BYOD y de Shadow IT, la visi- 
bilidad debería ya darse por hecha. “Claro, pero al 
final seguimos hablando de silos”, ahora por fin la Qualys Iberia 
gente de seguridad tiene un nivel de interlocución Qualys arranca en Iberia con personal propio hace 
alto dentro de las empresas que hace que la segu- dos años. Se ficha Raúl Benito, un veterano con 
ridad empiece a ser transversal a cualquier cosa experiencia en Trend Micro, Check Point o McAfee. 
que se haga en la empresa, y eso hace que tanto el Hace un año se incorporó Sergio Pedroche, con 
BYOD como la parte móvil, la parte de loT o la par- más de diez años de experiencia en el mundo de 
te Cloud “tendrá que ser compliance con normativa la ciberseguridad. Nos cuenta Benito que ahora se 

< que yo tengo de seguridad en mi empresa”. incorpora otra persona, y otra más a mitad de año, > 
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lo que demuestra la inversión local que está hacien- | Enlaces de interés... 


do la compañía, | Qualys Patch Management para el parcheado 


Dice el directivo que “la solución de Qualys es automático de aplicaciones 
tan buena o tan mala como las manos que la estén 


implementando, y por eso se está invirtiendo mucho l Qualys Al ayuda a los equipos de seguridad a 
en formación para el canal”. entities 
IdentTifiCar riesgos 


De momento no se trabaja con mayorista, y sí y 
mucho con canal especialista. “Trabajamos mucho l Qualys compra activos de Adya para 


con los principales SOC que pueden existir en el potenciar la gestión de aplicaciones cloud 
mercado, como los S21Sec, Aluken, Satec, BT...”, 


explica Raúl Benito, añadiendo: “para nosotros la I Qualys quiere extender su presencia en 


gestión de vulnerabilicades será una commodity departamentos gubernamentales con 
dentro de la seguridad. A lo mejor no escaneas tamara 


todos los días todos los activos, porque no es ne- 


cesario. Lo que no puede ser es que una empresa | Qualys refuerza sus capacidades móviles con 


no sepa cuántos activos tiene y qué riesgo pueden la compra de ¡Mobility 
tener; y con herramientas como la nuestra, con un 


despliegue muy sencillo pueden tener esa visibili- l Qualus adquirirá los activos de NetWatcher 
dad”. m 
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